Charte des lois sur la protection de la vie privée

Date – Sortie le 01/01/2020

Dernière modification le – 12/06/2023

Applicabilité:

Ce document (« Exigences ») fait partie intégrante et juridiquement contraignante de tout contrat-cadre de services, énoncé de travail ou autre contrat (« Contrat ») entre Shaip (« Société ») et le prestataire de services (« Fournisseur/pigiste/consultants »).

1. Définitions

Aux fins des présentes Exigences, les termes suivants auront la signification indiquée ci-dessous :

  • « Lois applicables en matière de protection des données » désigne toutes les lois, règles et réglementations internationales, fédérales, étatiques et locales applicables au traitement des données personnelles, y compris, mais sans s'y limiter, le RGPD, le RGPD britannique, le CCPA/CPRA, le HIPAA, le PIPEDA et le LGPD.
  • « Données de l’entreprise » désigne l'ensemble des données, informations et documents, sous quelque forme ou support que ce soit, fournis au Fournisseur par ou au nom de la Société, ou collectés, générés, dérivés, pseudonymisés, anonymisés (si la réversibilité est possible) ou traités par le Fournisseur pour le compte de la Société. Cela inclut les Données du Projet et toutes les Données Personnelles.
  • « Violation de données » désigne toute violation réelle ou suspectée de la sécurité entraînant la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès accidentel ou illégal aux données de la société.
  • « Le PIB est » désigne le règlement général sur la protection des données (UE) 2016/679.
  • "Données personnelles" désigne toute information relative à une personne physique identifiée ou identifiable (« Personne concernée ») contenue dans les Données de la Société.
  • « Données personnelles sensibles » désigne toute catégorie de données considérée comme sensible en vertu des lois applicables en matière de protection des données, y compris, mais sans s'y limiter, l'origine raciale ou ethnique, les opinions politiques, les croyances religieuses ou philosophiques, l'appartenance syndicale, les données génétiques, les données biométriques, les données concernant la santé ou les données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique.
  • "En traitement" désigne toute opération effectuée sur les Données de l'Entreprise, telle que la collecte, l'enregistrement, l'organisation, le stockage, l'adaptation, la récupération, l'utilisation, la divulgation, la diffusion ou la destruction.
  • « Données du projet » désigne les données spécifiques (par exemple, voix, image, texte) collectées ou créées par le Vendeur dans le cadre des services fournis à la Société.
  • "Sous-traitant" désigne tout tiers engagé par le Vendeur pour traiter les Données de l'Entreprise.

2. Rôle et obligations du fournisseur

2.1 Rôle en tant que sous-traitant/sous-traitant. Le Fournisseur reconnaît qu'en traitant les Données de la Société, il agit en qualité de « Sous-traitant » ou de « Sous-traitant ultérieur » pour le compte de la Société. Il ne détient aucun droit de propriété ni aucun droit indépendant sur les Données de la Société.

2.2 Traitement sur instruction. Le Fournisseur traitera les Données de la Société uniquement conformément aux instructions documentées et légales de la Société, y compris celles énoncées dans le Contrat et les Cahiers des Charges pertinents. Il lui est expressément interdit de traiter les Données de la Société à ses propres fins ou à toute autre fin non explicitement indiquée par la Société. Les instructions doivent inclure des exigences de conservation et de suppression des données. Si le Fournisseur estime qu'une instruction enfreint les lois applicables en matière de protection des données, il doit en informer immédiatement la Société.

2.3 Conformité aux lois. Le Fournisseur garantit et déclare qu'il se conformera à toutes les lois applicables en matière de protection des données dans le cadre de l'exécution du Contrat et qu'il informera rapidement la Société si une loi empêche le respect ou exige la divulgation des Données de la Société (par exemple, les demandes d'accès du gouvernement).

3. Mesures de sécurité techniques et organisationnelles

3.1 Normes de sécurité. Le Fournisseur doit mettre en œuvre et maintenir des mesures de sécurité techniques et organisationnelles appropriées pour protéger les Données de la Société contre toute violation de données. Ces mesures doivent être adaptées au niveau de risque et à la nature des données et doivent, au minimum, inclure :

  1. Cryptage: Cryptage de toutes les données de l'entreprise au repos et en transit.
  2. Contrôle d'Accès : Contrôles d'accès stricts basés sur le moindre privilège, garantissant que seul le personnel autorisé a accès aux données de l'entreprise.
  3. Minimisation des données : Collecter et traiter uniquement la quantité minimale de données personnelles nécessaires au projet spécifié.
  4. Environnements sécurisés : S'assurer que tous les systèmes utilisés pour traiter les données de l'entreprise sont configurés, corrigés, enregistrés et surveillés de manière sécurisée.
  5. Suppression sécurisée : Mise en œuvre de processus de suppression sécurisée et permanente des données de l’entreprise sur instruction de l’entreprise, y compris la suppression des sauvegardes.
  6. Sécurité physique: Sécurisation de tous les emplacements physiques et appareils où les données de l'entreprise sont stockées ou consultées.
  7. Tests et surveillance : Tests de pénétration réguliers, évaluations de vulnérabilité et surveillance continue.
  8. Continuité de l'activité: Maintenir les plans de réponse aux incidents, de reprise après sinistre et de continuité des activités.

4. Sous-traitance

4.1 Consentement préalable requis. Le Vendeur ne doit pas engager de sous-traitant pour traiter les données de la Société sans le consentement écrit préalable et spécifique de la Société.

4.2 Transmission des obligations. Si le consentement est accordé, le Fournisseur doit conclure un accord écrit avec le Sous-traitant qui impose au Sous-traitant des obligations de protection des données identiques ou plus strictes que celles imposées au Fournisseur par les présentes Exigences.

4.3 Liste des sous-traitants. Le Fournisseur doit tenir à jour la liste des Sous-traitants et la fournir à la Société sur demande. La Société se réserve le droit de contester à tout moment tout Sous-traitant.

4.4 Responsabilité totale. Le Vendeur demeurera pleinement responsable envers la Société de l'exécution des obligations du Sous-traitant et de tout acte ou omission de ce dernier.

5. Notification et gestion des violations de données

5.1 Notification immédiate. Le Vendeur devra informer la Société par écrit sans délai injustifié, et en aucun cas plus de vingt-quatre (24) heures après avoir eu connaissance d'une Violation de Données.

5.2 Détails de la violation. La notification doit, au minimum :

  1. Décrivez la nature de la violation de données, y compris les catégories et le nombre approximatif de personnes concernées et d’enregistrements de données concernés.
  2. Indiquez le nom et les coordonnées du délégué à la protection des données du fournisseur ou de tout autre point de contact compétent.
  3. Décrivez les conséquences probables de la violation de données.
  4. Décrivez les mesures prises ou proposées par le fournisseur pour remédier à la violation de données et atténuer ses effets.

5.3 Mises à jour continues. Le vendeur fournira des mises à jour régulières jusqu’à ce que l’incident soit entièrement résolu.

5.4 Coopération. Le Fournisseur s'engage à coopérer pleinement avec la Société dans l'enquête, la résolution et la notification de toute violation de données. Il assumera tous les coûts liés à une violation de données dans la mesure où celle-ci résulterait de son manquement aux présentes Exigences.

6. Transferts internationaux de données

6.1 Le Fournisseur ne transférera pas les Données de la Société au-delà des frontières internationales sans son consentement écrit préalable. Il doit préciser tous les pays dans lesquels il traitera les Données de la Société.

6.2 Si nécessaire, le Fournisseur s'engage à conclure des clauses contractuelles types (CCT), des règles d'entreprise contraignantes (REC), l'addendum du Royaume-Uni ou tout autre mécanisme mandaté par la Société pour garantir des transferts de données légaux.

6.3 Le fournisseur doit se conformer aux exigences locales en matière de résidence des données, le cas échéant.

7. Audits et inspections

La Société, ou son auditeur tiers désigné, aura le droit de réaliser des audits, à ses frais, afin de vérifier la conformité du Fournisseur aux présentes Exigences. Le Fournisseur fournira toutes les informations et la documentation nécessaires, ainsi que l'accès aux installations et au personnel.

Le fournisseur doit se soumettre régulièrement à des certifications tierces (par exemple, ISO 27001, SOC 2) et/ou à des auto-évaluations, et remédier rapidement à toute lacune identifiée lors des audits ou des évaluations dans un délai mutuellement convenu.

8. Assistance relative aux droits des personnes concernées

Le Fournisseur informera la Société dans les meilleurs délais, et au plus tard dans les quarante-huit (48) heures, de toute demande d'exercice des droits d'une Personne Concernée (par exemple, accès, rectification, effacement, portabilité). Le Fournisseur ne répondra pas directement à ces demandes, sauf instruction contraire de la Société, et fournira toute l'assistance nécessaire pour permettre à la Société d'y répondre.

9. Retour et suppression des données

À la résiliation du Contrat ou à la demande de la Société, le Fournisseur devra, au choix de la Société, supprimer ou restituer de manière sécurisée toutes les Données de la Société dans un délai de trente (30) jours. Le Fournisseur devra garantir la suppression des sauvegardes et fournir une attestation écrite de cette suppression.

10. Catégories particulières de données

10.1 Données de santé (HIPAA) : Si le Fournisseur traite des informations médicales protégées (IMP), il reconnaît être un « partenaire commercial » (ou un sous-traitant d'un partenaire commercial) au sens de la loi HIPAA. Le Fournisseur doit se conformer aux exigences de la loi HIPAA et signer le contrat de partenariat commercial (CPA) de la Société.

10.2 Autres données sensibles : Pour les projets impliquant des données personnelles sensibles (y compris des données biométriques ou des données d’enfants), le fournisseur doit obtenir l’approbation de la société et adhérer à des protocoles de sécurité et de traitement renforcés tels que spécifiés par la société.

11. Indemnisation et responsabilité

Le Vendeur s'engage à défendre, indemniser et dégager de toute responsabilité la Société, ses sociétés affiliées, ses dirigeants et ses clients contre toutes réclamations, responsabilités, dommages, pertes, amendes, pénalités et dépenses (y compris les honoraires d'avocat raisonnables) découlant de ou liés à toute violation des présentes Exigences par le Vendeur, ses employés ou ses Sous-traitants.

La responsabilité ne sera pas limitée pour les violations impliquant des violations de données, des amendes réglementaires, une faute intentionnelle ou une fraude.

12. Dispositions générales

12.1 Primauté. En cas de conflit entre les termes de l’Accord et les présentes Exigences, ces dernières prévaudront en matière de protection des données.

12.2 Modification. Les présentes exigences ne peuvent être modifiées que par un avenant écrit signé par les représentants autorisés des deux parties.

12.3 Survie. Les obligations relatives à la confidentialité, à la suppression des données, à la responsabilité et aux droits d’audit survivront à la résiliation du Contrat.

12.4 Loi applicable. Les présentes exigences seront régies et interprétées conformément au droit applicable énoncé dans l’accord.